You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1703

[Generic/Java] Schwachstelle in Java 7 Update 10 [UPDATE]
(2013-01-11 11:48:14.569145+00) Druckversion

Quelle: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0422

Eine Schwachstelle in Oracle Java 7 bis einschließlich Update 10, ermöglicht einem Angreifer durch manipulierten Java-Code beliebigen Programmcode auf das beherbergende System zu schleusen und auszuführen. Ein entsprechendes Applet kann dabei z.B. über eine entsprechend hergerichtete Webseite oder eine E-Mail-Nachricht auf das Opfersystem transportiert werden. Derzeit sind noch keine Patches zur Behebung der Schwachstelle verfügbar. Es ist bereits entsprechender Exploitcode in Umlauf und es ist damit zu rechnen, dass Angriffe auf der Basis dieser Schwachstelle in kurzer Zeit massiv ansteigen werden. Da praktisch alle aktuellen Browser bei aktiviertem Java verwundbar sind, wird die Deaktivierung entsprechender Java-Plug-Ins bis zum Erscheinen entsprechender Patches dringend empfohlen. Man beachte, dass diese Schwachstelle nicht auf ein bestimmtes Wirtsbetriebssystem beschränkt ist. Sie kann z.B. als "Türöffner" genutzt werden und Code einschleusen, der betriebssystemspezifische Malware nachlädt.
UPDATE: Oracle hat Patches zur Behebung dieser Schwachstelle veröffentlicht. Dieses Update scheint jedoch eine ältere Schwachstelle nicht zu beheben, weshalb zunächst die empfohlenen Maßnahmen aufrecht erhalten werden sollten.

Inhalt

Zusammenfassung

  • CVE-2013-0422:
    Betroffen: Oracle Java 7 bis inklusive Update 10
    Nicht betroffen: Oracle Java 7 Update 11
    Plattform: alle (generic)
    Einfallstor: Java Anwendung (i.W. Webanwendungen, Applets oder Apps)
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Implementierungs- oder Entwurfsfehler (Details derzeit nicht verfügabar)
    Gefahrenpotential: hoch
    Workaround: ja, Deaktivierung von Java
    Gegenmaßnahmen: neue Version
    Exploit Status: Exploitcode ist in Umlauf
    Vulnerability ID: CVE-2013-0422

Betroffene Systeme

  • Oracle Java 7 bis einschließlich Update 10
  • möglicherweise auch frühere Versionen

Nicht betroffene Systeme

  • Oracle Java 7 Update 11

Plattform

Einfallstor

Angriffsvoraussetzung

  • Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechende Java-Applikation, ein entsprechendes Java-Applet oder eine Web-Anwendung ausführen. In der Regel reicht es, wenn eine Webseite, die entsprechenden Code enthält, in einem Webbrowser geöffnet wird, um eine erfolgreiche Ausnutzung der Schwachstelle provozieren. Alternativ kann der entsprechende Code z.B. auch in einer E-Mail-Nachricht enthalten sein.
    (user interaction)

Angriffsvektorklasse

  • über eine Netzwerkverbindung
    (remote)

Auswirkung

  • Kompromittierung des das Java-Applet ausführenden Benutzers
    (user compromise)

Typ der Verwundbarkeit

  • unbekannt

Gefahrenpotential

  • hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Eine Schwachstelle in Java 7 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit den Privilegien des Benutzers ausgeführt, der die Java-Laufzeitumgebung gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.

Besondere Brisanz erhält die Schwachstelle durch zwei Eigenschaften, die typische Java-Umgebungen besitzen:

  1. Integration in Webbrowser: Java kann als Plug-In in die gängigsten Webbrowser integriert werden und wird in den meisten Fällen bereits vorinstalliert ausgeliefert. In Webseiten enthaltener Java-Code wird bei Aufruf durch den Browser automatisch ausgeführt. Je nach (ggf. möglicher) Sicherheitseinstellung wird der Benutzer dabei nicht explizit vorher um eine Bestätigung gebeten.
  2. Plattformunabhängigkeit: Java ist plattormunabhängig. Code ist in Java-Umgebungen auf verschiedenen Betriebssystemen lauffähig.

In einem Angriffsszenario sorgt Eigenschaft 1. für eine sehr leichte Ausnutzbarkeit. Es ist ausreichend, entsprechenden Code auf einer Seite zu platzieren und darauf zu warten, dass ein Benutzer mit einer verwundbaren Java-Umgebung die Seite aufruft. Eigenschaft 2. kann dazu ausgenutzt werden, Malware für verschiedene Plattformen zu entwickeln und sie über denselben Java-Code in verwundbare Systeme zu schleusen. In einem solchen Szenario würde bei Aufruf einer entsprechenden Seite der Java-Code zunächst prüfen, auf welchem Betriebssystem er ausgeführt wird und dann das Nachladen entsprechenden Schadcodes, der auf das jeweilige Wirtsbetriebssyetem zugeschnitten ist, veranlassen.

Exploitcode ist mittlerweile in Umlauf und bereits in Programmen zur raschen Erstellung von Malware (Malware Kit oder Exploit Kit) enthalten. Es ist damit zu rechnen, dass entsprechender Angriffscode in der Kürze auf zahlreichen Seiten zu finden sein wird.

Es wird daher dringend empfohlen, Java auf betroffenen Systemen zu deaktivieren oder zu deinstallieren, sofern eine Deaktivierung nicht sichergestellt werden kann.

UPDATE: Oracle hat Java Update 11 veröffentlicht, das die Schwachstelle behebt. Man beachte, dass dieses Update offenbar nicht die unter RUS-CERT#1695 beschriebene Schwachstelle (CVE-2012-3174) behebt. Diese scheint nach Mitteilung von Krebs on Security bzw. dem US-CERT weiterhin zu bestehen. Aus diesem Grund sollte von einer Reaktivierung von Java in Browsern zunächst abgesehen werden und die im Abschnitt Workaround beschriebenen Maßnahmen ergriffen bzw. beibehalten werden.

Workaround

Abschaltung von Java im Browser: Ob Java erfolgreich abgeschaltet wurde, kann auf der Java-Testseite des Heise-Verlages geprüft werden.

Gegenmaßnahmen

Man beachte, dass dieses Update offenbar nicht die unter RUS-CERT#1695 beschriebene Schwachstelle behebt. Daher sollte von einer Reaktivierung von Java in Browsern zunächst abgesehen werden und die im Abschnitt Workaround beschriebenen Maßnahmen ergriffen bzw. beibehalten werden.

Vulnerability ID

Weitere Information zu diesem Thema

Exploit Status

  • Malware ist in Umlauf und die Schwachstelle wird aktiv ausgenutzt.
    (malware)

Revisionen dieser Meldung

  • V 1.0 (2013-01-11)
  • V 1.1 (2013-01-15): Patches verfügbar
(og)

Weitere Artikel zu diesem Thema:

  • [Generic/Java] Schwachstelle in Java 7 Update 10 (2012-06-13)
    Eine Schwachstelle in Oracle Java 7 bis einschließlich Update 10, ermöglicht einem Angreifer durch manipulierten Java-Code beliebigen Programmcode auf das beherbergende System zu schleusen und auszuführen. Ein entsprechendes Applet kann dabei z.B. über eine entsprechend hergerichtete Webseite oder eine E-Mail-Nachricht auf das Opfersystem transportiert werden. Derzeit sind noch keine Patches zur Behebung der Schwachstelle verfügbar. Die Schwachstelle betrifft nur Java-Installationen, die als Plug-in in Webbrowsern verwendet werden. Stand-Alone-Installationen sind laut Oracle nicht betroffen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.